Accedi ed elenca i dettagli chiave KMS - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi ed elenca i dettagli chiave KMS

Puoi utilizzare la AWS KMS console o l'DescribeKeyoperazione per accedere ed elencare informazioni dettagliate sulle chiavi KMS nell'account e nella regione.

Le seguenti procedure mostrano come accedere ai dettagli delle chiavi KMS, come l'ID della chiave, le specifiche della chiave, l'utilizzo delle chiavi e altro ancora.

La pagina dei dettagli di ogni chiave KMS visualizza le proprietà della chiave KMS. Differisce leggermente per i diversi tipi di chiavi KMS.

Per visualizzare informazioni dettagliate su una chiave KMS, nella pagina Chiavi gestite da AWS o Chiavi gestite dal cliente, scegli l'alias o l'ID della chiave KMS.

La pagina dei dettagli per una chiave KMS include una Configurazione generale in cui vengono visualizzate le proprietà di base della chiave KMS. Include anche schede in cui è possibile visualizzare e modificare le proprietà della chiave KMS, come la politica delle chiavi, la configurazione crittografica, i tag, il materiale chiave e le rotazioni (per le chiavi KMS che supportano la rotazione automatica o su richiesta), Regionalità (per le chiavi multiregione) e la chiave pubblica (per le chiavi KMS asimmetriche).

Nota

La AWS KMS console mostra le chiavi KMS che sei autorizzato a visualizzare nel tuo account e nella tua regione. Le chiavi KMS di altri utenti Account AWS non vengono visualizzate nella console, anche se sei autorizzato a visualizzarle, gestirle e utilizzarle. Per visualizzare le chiavi KMS in altri account, usa l'DescribeKeyoperazione.

Per passare alla pagina dei dettagli delle chiavi per una chiave KMS.

  1. Accedi AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Per visualizzare le chiavi nell'account creato e gestito dall'utente, nel riquadro di navigazione, seleziona Chiavi gestite dal cliente. Per visualizzare le chiavi dell'account che AWS crea e gestisce per te, nel riquadro di navigazione, scegli chiavi gestite.AWS

  4. Per aprire la pagina dei dettagli delle chiavi, nella tabella delle chiavi, scegli l'ID chiave o l'alias della chiave KMS.

    Se la chiave KMS dispone di più alias, viene visualizzato un riepilogo degli alias (+n più) viene visualizzato accanto al nome di uno degli alias. La scelta del riepilogo alias consente di accedere direttamente alla sezione Alias nella pagina dei dettagli delle chiavi.

Chiave gestita dal cliente details showing general configuration and cryptographic settings.

Nell'elenco seguente vengono descritti i campi nella visualizzazione dettagliata, incluso il campo nelle schede. Alcuni di questi campi sono disponibili anche come colonne nella visualizzazione della tabella.

Alias

Dove: scheda degli Alias

Specifica un nome intuitivo per la chiave KMS. Puoi utilizzare un alias per identificare la chiave KMS nella console e in alcune altre. AWS KMS APIs Per informazioni dettagliate, consultare Alias in AWS KMS.

La scheda Alias mostra tutti gli alias associati alla chiave KMS nella regione and. Account AWS

ARN

Dove: sezione Configurazione generale

Il nome della risorsa Amazon (ARN) della chiave KMS. Questo valore identifica singolarmente la chiave KMS. Puoi utilizzarlo per identificare la chiave KMS nelle operazioni API AWS KMS .

Stato connessione

Indica se un archivio delle chiavi personalizzate è collegato al relativo archivio del materiale della chiave. Questo campo viene visualizzato solo quando la chiave KMS viene creata in un archivio delle chiavi personalizzate.

Per informazioni sui valori in questo campo, consulta l'AWS KMS API ConnectionStateReference.

Data di creazione

Dove: sezione Configurazione generale

La data e l'ora di creazione della chiave KMS. Questo valore viene visualizzato nell'ora locale per il dispositivo. Il fuso orario non dipende dalla regione.

A differenza della Expiration (Scadenza), la creazione si riferisce solo alla chiave KMS, non al materiale della chiave.

ID cluster CloudHSM

Dove: scheda Configurazione crittografica

L'ID del AWS CloudHSM cluster che contiene il materiale chiave per la chiave KMS. Questo campo viene visualizzato solo quando la chiave KMS viene creata in un archivio delle chiavi personalizzate.

Se scegli l'ID del cluster CloudHSM, viene aperta la pagina Cluster nella console. AWS CloudHSM

Materiale chiave attuale

Dove: sezione Configurazione generale

Le chiavi di crittografia simmetriche con AWS_KMS origine supportano sia la rotazione automatica che quella su richiesta. Le chiavi di crittografia simmetriche a regione singola con origine supportano la rotazione su richiesta. EXTERNAL A queste chiavi possono essere associati più materiali chiave. Il materiale chiave ruotato più di recente può essere utilizzato sia per la crittografia che per la decrittografia. Questo materiale chiave è identificato come il materiale chiave attuale. Gli altri materiali chiave possono essere utilizzati solo per la decrittografia. La rotazione automatica o su richiesta di una chiave KMS modifica il materiale chiave corrente.

ID dello store delle chiavi personalizzate

Dove: scheda Configurazione crittografica

L'ID dell'archivio delle chiavi personalizzate che contiene la chiave KMS. Questo campo viene visualizzato solo quando la chiave KMS viene creata in un archivio delle chiavi personalizzate.

Se scegli l'ID dell'archivio chiavi personalizzato, viene aperta la pagina Custom key store nella AWS KMS console.

Il nome dello store delle chiavi personalizzate

Dove: scheda Configurazione crittografica

Il nome dell'archivio delle chiavi personalizzate che contiene la chiave KMS. Questo campo viene visualizzato solo quando la chiave KMS viene creata in un archivio delle chiavi personalizzate.

Tipo di archivio delle chiavi personalizzate

Dove: scheda Configurazione crittografica

Indica se l'archivio delle chiavi personalizzate è un archivio delle chiavi di AWS CloudHSM o un archivio delle chiavi esterne. Questo campo viene visualizzato solo quando la chiave KMS viene creata in un archivio delle chiavi personalizzate.

Descrizione

Dove: sezione Configurazione generale

Una breve descrizione facoltativa della chiave KMS che puoi scrivere e modificare. Per aggiungere o aggiornare la descrizione di una chiave gestita dal cliente, sopra Configurazione generale seleziona Modifica.

Algoritmi di crittografia

Dove: scheda Configurazione crittografica

Elenca gli algoritmi di crittografia che possono essere utilizzati con la chiave KMS in AWS KMS. Questo campo viene visualizzato solo quando Key type (Tipo di chiave) è Asymmetric (Asimmetrico) e Key usage (Utilizzo della chiave) è Encrypt and decrypt (Crittografa e decripta). Per informazioni sugli algoritmi di crittografia AWS KMS supportati, consulta Specifica della chiave SYMMETRIC_DEFAULT eSpecifiche della chiave RSA per la crittografia e la decrittografia.

Data di scadenza

Dove: scheda Materiale della chiave

Data e ora in cui scade il materiale della chiave per la chiave KMS. Questo campo viene visualizzato solo per le chiavi KMS con materiale della chiave importato, ovvero quando Origin (Origine) è External (Esterna) e la chiave KMS ha materiale della chiave in scadenza. Alle chiavi di crittografia simmetriche a regione singola possono essere associati più materiali chiave. Per tali chiavi, questo campo indica la prima data e ora di scadenza di uno dei materiali chiave associati.

ID chiave esterna

Dove: scheda Configurazione crittografica

L'ID della chiave esterna associata a una chiave KMS in un archivio delle chiavi esterne. Questo campo viene visualizzato solo per le chiavi KMS in un archivio delle chiavi esterne.

Stato della chiave esterna

Dove: scheda Configurazione crittografica

Lo stato più recente riportato dal proxy dell'archivio delle chiavi esterne per la chiave esterna associata alla chiave KMS. Questo campo viene visualizzato solo per le chiavi KMS in un archivio delle chiavi esterne.

Utilizzo della chiave esterna

Dove: scheda Configurazione crittografica

Le operazioni di crittografia abilitate sulla chiave esterna associata alla chiave KMS. Questo campo viene visualizzato solo per le chiavi KMS in un archivio delle chiavi esterne.

Policy della chiave

Dove: scheda Policy delle chiavi

Controlla l'accesso alla chiave KMS e alle policy IAM e alle concessioni. Ogni chiave KMS ha una policy delle chiavi. È l'unico elemento di autorizzazione obbligatorio. Per modificare la policy delle chiavi di una chiave gestita dal cliente, nella scheda Policy delle chiavi, scegli Modifica. Per informazioni dettagliate, consultare Politiche chiave in AWS KMS.

Materiale chiave e rotazioni

Dove: scheda Materiale chiave e rotazioni

Questa scheda viene visualizzata solo per le chiavi di crittografia simmetriche con AWS_KMS origine (che supportano sia la rotazione automatica che su richiesta) e per le chiavi di crittografia simmetriche a regione singola con EXTERNAL origine (che supportano la rotazione su richiesta).

La scheda ha tre pannelli:

Rotazione automatica: abilita e disabilita la rotazione automatica del materiale chiave in una chiave KMS gestita dal cliente. Per modificare lo stato di rotazione delle chiavi di una chiave gestita dal cliente, utilizza la casella di controllo. Non è possibile abilitare o disabilitare la rotazione del materiale della chiave in una Chiave gestita da AWS. Le Chiavi gestite da AWS vengono ruotate automaticamente ogni anno.

Rotazione su richiesta: avvia una rotazione su richiesta del materiale chiave in una chiave gestita dal cliente. Per le chiavi importate, è necessario che sia già presente un materiale chiave importato PENDING_ROTATION affinché l'opzione Ruota ora sia disponibile.

Materiali chiave: elenca tutti i materiali chiave associati alla chiave KMS. Ogni materiale chiave ha un identificatore univoco e la relativa riga mostra informazioni aggiuntive sul materiale chiave, come la data di rotazione in cui il materiale chiave è diventato disponibile per l'uso in KMS. Per le chiavi importate, ogni riga ha anche un menu Azioni che può essere utilizzato per eliminare un materiale chiave specifico o reimportarlo nella chiave KMS.

Specifica della chiave

Dove: scheda Configurazione crittografica

Il tipo di materiale chiave nella chiave KMS. AWS KMS supporta chiavi KMS con crittografia simmetrica (SYMMETRIC_DEFAULT), chiavi KMS HMAC di diverse lunghezze, chiavi KMS per chiavi RSA di diverse lunghezze e chiavi a curva ellittica con curve diverse. Per informazioni dettagliate, consultare Key spec.

Tipo di chiavi

Dove: scheda Configurazione crittografica

Indica se la chiave KMS è Simmetrica o Asimmetrica.

Utilizzo delle chiavi

Dove: scheda Configurazione crittografica

Indica se una chiave KMS può essere utilizzata per le operazioni Encrypt and decrypt (Crittografa e decrittografa), Sign and verify (Firma e verifica) o Generate and verify MAC (Genera e verifica MAC). Per informazioni dettagliate, consultare Key usage.

Origin

Dove: scheda Configurazione crittografica

L'origine del materiale della chiave per la chiave KMS. I valori validi sono:

Algoritmi MAC

Dove: scheda Configurazione crittografica

Elenca gli algoritmi MAC che possono essere utilizzati con la chiave KMS HMAC in AWS KMS. Questo campo viene visualizzato solo quando il valore Key spec (Specifica della chiave) è una specifica di chiave HMAC (HMAC_*). Per informazioni sugli algoritmi MAC supportati da AWS KMS , consulta la sezione Specifiche della chiave per le chiavi KMS HMAC.

Chiave primaria

Dove: scheda Regionalità

Indica che questa chiave KMS è una chiave primaria multi-regione. Gli utenti autorizzati possono utilizzare questa sezione per cambiare la chiave primaria con una diversa chiave multi-regione correlata. Questo campo viene visualizzato solo quando la chiave KMS è una chiave primaria multi-regione.

Chiavi pubbliche

Dove: scheda Chiave pubblica

Visualizza la chiave pubblica di una chiave KMS asimmetrica. Gli utenti autorizzati possono utilizzare questa scheda per copiare e scaricare la chiave pubblica.

Regionalità

Dove: sezione Configurazione generale e schede Regionalità

Indica se una chiave KMS è una chiave di singola regione, una chiave primaria multi-regione, o una chiave di replica in multi-regione. Questo campo viene visualizzato solo quando la chiave KMS è una chiave multi-regione.

Chiavi multi-regione correlate

Dove: scheda Regionalità

Visualizza tutte le relative chiavi primarie e di replica multi-regione, ad eccezione della chiave KMS corrente. Questo campo viene visualizzato solo quando la chiave KMS è una chiave multi-regione.

Nella sezione chiavi multi-regione correlate di una chiave primaria, gli utenti autorizzati possono creare nuove chiavi di replica.

Chiave di replica

Dove: scheda Regionalità

Indica che questa chiave KMS è una chiave di replica multi-regione. Questo campo viene visualizzato solo quando la chiave KMS è una chiave di replica multi-regione.

Algoritmi di firma

Dove: scheda Configurazione crittografica

Elenca gli algoritmi di firma che possono essere utilizzati con la chiave KMS in AWS KMS. Questo campo viene visualizzato solo quando Key type (Tipo di chiave) è Asymmetric (Asimmetrico) e Key usage (Utilizzo della chiave) è Sign and verify (Firma e verifica). Per informazioni sugli AWS KMS Specifiche della chiave RSA per la firma e la verifica Specifiche della chiave basata su curva ellittica algoritmi di firma supportati, vedere e.

Stato

Dove: sezione Configurazione generale

Lo stato della chiave KMS. È possibile utilizzare la chiave KMS nelle operazioni di crittografia solo quando lo stato è Enabled (Abilitato). Per una descrizione dettagliata di ogni stato di chiave KMS e il relativo effetto sulle operazioni che è possibile eseguire sulla chiave KMS, consulta Stati chiave delle AWS KMS chiavi.

Tag

Dove: scheda Tag

Coppie chiave-valore opzionali che descrivono la chiave KMS. Per aggiungere o modificare i tag per una chiave KMS, nella scheda Tag scegli Modifica.

Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sul tagging delle chiavi KMS, consulta Tag in AWS KMS e ABAC per AWS KMS.

L'DescribeKeyoperazione restituisce dettagli sulla chiave KMS specificata. Per identificare la chiave KMS, utilizza ID chiave, ARN di chiave, nome alias o alias ARN.

A differenza dell'ListKeysoperazione, che visualizza solo le chiavi KMS nell'account e nella regione del chiamante, gli utenti autorizzati possono utilizzare l'DescribeKeyoperazione per ottenere dettagli sulle chiavi KMS in altri account.

Nota

La risposta DescribeKey include sia membri KeySpec e CustomerMasterKeySpec con gli stessi valori. Il membro CustomerMasterKeySpec è obsoleto.

Ad esempio, questa chiamata a DescribeKey restituisce informazioni su una chiave KMS di crittografia simmetrica. I campi nella risposta variano in base alle specifiche della AWS KMS key, allo stato della chiave e all'origine del materiale della chiave. Per esempi in più linguaggi di programmazione, consulta Utilizzo DescribeKey con un AWS SDK o una CLI.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1499988169.234,
        "MultiRegion": false,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
    }
}

Questo esempio chiama l'operazione DescribeKey su una chiave KMS asimmetrica utilizzata per la firma e la verifica. La risposta include gli algoritmi di firma supportati da AWS KMS per questa chiave KMS.

$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321

{
    "KeyMetadata": {        
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Origin": "AWS_KMS",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "KeyState": "Enabled",
        "KeyUsage": "SIGN_VERIFY",
        "CreationDate": 1569973196.214,
        "Description": "",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "AWSAccountId": "111122223333",
        "Enabled": true,
        "MultiRegion": false,
        "KeyManager": "CUSTOMER",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ]
    }
}